我使用JWT使用RS256 private/public密钥进行API身份验证。
在我的客户端我正在使用Vuejs / Angular / React,我很想使用JsonWebToken对到期日和发行人进行客户端JWT令牌验证:
var cert = fs.readFileSync('public.pem'); // get public key
jwt.verify(token, cert, { audience: 'urn:foo', issuer: 'urn:issuer' }, function(err, decoded) {
// if issuer mismatch, err == invalid issuer
});
你觉得暴露公钥是个好主意,虽然公钥是用于分发的吗?
答案 0 :(得分:0)
公钥可以“公开”发布,没有任何危害。公钥用于验证签名是否被操纵,而私钥是保密的,因为它是签署有效载荷的私钥。因此,您的客户端只需知道有效负载是否未被操作。更多详情here